SSO în Control Hub

Dacă doriți să configurați SSO pentru mai mulți furnizori de identitate din organizația dvs., consultați SSO cu mai multe ID-uri în Webex.


 

Dacă utilizarea certificatului de către organizația dvs. este setată la Niciuna, dar primiți în continuare o alertă, vă recomandăm să continuați să continuați cu upgrade-ul. Implementarea dvs. SSO nu utilizează certificatul astăzi, dar este posibil să aveți nevoie de certificat pentru modificări viitoare.


 

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul de conectare singură Webex ( SSO) va expira. Urmați procesul din acest articol pentru a prelua metadatele certificatului cloud SSO de la noi (SP) și a le adăuga înapoi la IdP; în caz contrar, utilizatorii nu vor putea utiliza serviciile Webex .

Dacă utilizați certificatul SAML Cisco (SP) SSO în organizația dvs. Webex, trebuie să planificați să actualizați certificatul cloud cât mai curând posibil în timpul unei ferestre de întreținere programate.

Toate serviciile care fac parte din abonamentul organizației dvs. Webex sunt afectate, inclusiv, dar fără a se limita la:

  • Aplicația Webex (conectări noi pentru toate platformele: desktop, mobil și web)

  • Servicii Webex în Control Hub, inclusiv Calling

  • Site-uri Webex Meetings gestionate prin Control Hub

  • Cisco Jabber dacă este integrat cu SSO

Înainte de a începe


 

Vă rugăm să citiți toate instrucțiunile înainte de a începe. După ce modificați certificatul sau parcurgeți expertul pentru a actualiza certificatul, este posibil ca noii utilizatori să nu se poată conecta cu succes.

Dacă IdP-ul dvs. nu acceptă mai multe certificate (majoritatea IdP-urilor de pe piață nu acceptă această funcție), vă recomandăm să programați acest upgrade în timpul unei ferestre de întreținere în care utilizatorii Aplicației Webex nu sunt afectați. Aceste sarcini de upgrade trebuie să dureze aproximativ 30 de minute în timpul operațional și după validarea evenimentului.

1

Pentru a verifica dacă certificatul SSO SAML Cisco (SP) va expira:

  • Este posibil să fi primit un e-mail sau un mesaj din aplicația Webex de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.
  • Conectați-vă lahttps://admin.webex.com , și verificați Centru de alerte . Este posibil să existe o notificare privind actualizarea Certificatului de furnizor de servicii SSO .

  • Conectați-vă la https://admin.webex.com, accesați Gestionare > Setări organizație > Autentificare, și faceți clic pe Gestionare SSO și IdPs.
  • Accesați fila Identitate furnizor și notați starea certificatului Cisco SP și data de expirare.

Puteți accesa direct expertul SSO pentru a actualiza și certificatul. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou oricând din Management > Setări organizație > Autentificare înhttps://admin.webex.com .

2

Accesați IdP și faceți clic pe.

3

Faceți clic pe Revizuiți certificatele și data de expirare.

Acest lucru vă duce la fereastra certificatelor furnizorului de servicii (SP) .
4

Faceți clic pe Reînnoire certificat.

5

Alegeți tipul certificatului pentru reînnoire:

  • Semnat automat de Cisco —Recomandăm această alegere. Permiteți-ne să semnăm certificatul, așa că trebuie să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate publică de certificare — Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

     

    Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru verificarea certificatului unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

6

Faceți clic Descărcați fișierul cu metadate pentru a descărca o copie a metadatelor actualizate cu noul certificat din Webex . Păstrați acest ecran deschis.

7

Navigați la interfața de gestionare a IdP pentru a încărca noul fișier de metadate Webex .

  • Acest pas se poate face printr-o filă de browser, printr-un protocol desktop la distanță (RDP) sau printr-un anumit suport al furnizorului de cloud, în funcție de configurarea IdP și dacă dvs. sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență. Dacă sunteți în Active Directory Federation Services (AD FS), puteți vedeți cum să actualizați metadatele Webex în AD FS .
8

Reveniți la fila în care v-ați conectat la Control Hub și faceți clic În continuare .

9

Acest mesaj are rolul de a confirma faptul că noul fișier cu metadate a fost încărcat și interpretat corect de către IdP-ul dvs. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a reușit, faceți clic Comutați la metadate noi .


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

Rezultat: Ați terminat, iar Certificatul SSO SAML Cisco (SP) al organizației dvs. este acum reînnoit. Puteți verifica starea certificatului în orice moment în fila Identity Provider .


 

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub conform căreia certificatul IdP va expira. Deoarece furnizorii IdP au propria documentație specifică pentru reînnoirea certificatului, acoperim ceea ce este necesar în Control Hub, împreună cu pași generici pentru a prelua metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul.

1

Pentru a verifica dacă certificatul IdP SAML va expira:

  • Este posibil să fi primit un e-mail sau un mesaj din aplicația Webex de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.
  • Conectați-vă lahttps://admin.webex.com , și verificați Centru de alerte . Este posibil să existe o notificare despre actualizarea certificatului IdP SAML :

  • Conectați-vă la https://admin.webex.com, accesați Gestionare > Setări organizație > Autentificare, și faceți clic pe Gestionare SSO și IdPs.
  • Accesați fila Identitate furnizor și notați starea certificatului IdP (expirat sau expirat în curând) și data de expirare.
  • Puteți accesa direct expertul SSO pentru a actualiza și certificatul. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou oricând din Management > Setări organizație > Autentificare înhttps://admin.webex.com .

2

Navigați la interfața de gestionare a IdP pentru a prelua noul fișier cu metadate.

  • Acest pas se poate face printr-o filă de browser, printr-un protocol desktop la distanță (RDP) sau printr-un anumit suport al furnizorului de cloud, în funcție de configurarea IdP și dacă dvs. sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență.
3

Reveniți la fila Identitate furnizor .

4

Accesați IdP, faceți clicuploadși selectați Încărcare metadate Idp.

5

Glisați și plasați fișierul metadate IdP în fereastră sau faceți clic pe Alegeți un fișier și încărcați-l în acest fel.

6

Alegeți Mai puțin sigure (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

7

Faceți clic Testare actualizare SSO pentru a confirma că noul fișier cu metadate a fost încărcat și interpretat corect în organizația dvs. din Control Hub. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a fost reușit, selectați Test de succes: Activați SSO și IdP și faceți clic pe Salvare.


 

Pentru a vedea experiența de conectare SSO direct, vă recomandăm să faceți clic pe Copiați URL-ul pentru a clipboard din acest ecran și să-l lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

Rezultat: Ați terminat și certificatul IdP al organizației dvs. este acum reînnoit. Puteți verifica starea certificatului în orice moment în fila Identity Provider .

Puteți exporta cele mai recente metadate Webex SP ori de câte ori trebuie să le adăugați înapoi la IdP. Veți vedea o notificare când metadatele IdP SAML importate vor expira sau vor expira.

Acest pas este util în scenariile obișnuite de gestionare a certificatelor IdP SAML , cum ar fi IdP-urile care acceptă mai multe certificate în care exportul nu a fost efectuat anterior, dacă metadatele nu au fost importate în IdP deoarece nu era disponibil un administrator IdP sau dacă IdP-ul dvs. acceptă posibilitatea de a actualiza numai certificatul. Această opțiune poate ajuta la minimizarea modificării prin actualizarea certificatului doar în configurația SSO și prin validarea post-eveniment.

1

Din vizualizarea clientului în https://admin.webex.com, accesați Gestionare > Setări organizație, derulați la autentificare și faceți clic pe Gestionare SSO și IdPs.

2

Accesați fila Identitate furnizor .

3

Accesați IdP, faceți clicDownloadși selectați Descărcați metadatele SP.

Numele de fișier al metadatelor Aplicației Webex este idb-meta-<org-ID>-SP.xml.

4

Importați metadatele în IdP.

Urmați documentația pentru IdP-ul dvs. pentru a importa metadatele Webex SP. Puteți utiliza sistemul nostru Ghiduri de integrare IdP sau consultați documentația pentru specificul dvs. IdP, dacă nu este listat.

5

Când ați terminat, rulați testul SSO utilizând pașii din Reînnoire certificat Webex (SP) în acest articol.

Când mediul dvs. IdP se modifică sau dacă certificatul dvs. IdP va expira, puteți importa oricând metadatele actualizate în Webex .

Înainte de a începe

Adunați-vă metadatele IdP, de obicei ca fișier XML exportat.

1

Din vizualizarea clientului în https://admin.webex.com, accesați Gestionare > Setări organizație, derulați la autentificare și faceți clic pe Gestionare SSO și IdPs.

2

Accesați fila Identitate furnizor .

3

Accesați IdP, faceți clicuploadși selectați Încărcare metadate Idp.

4

Trageți și plasați fișierul de metadate IdP în fereastră sau faceți clic Alegeți un fișier cu metadate și încărcați-l în acest fel.

5

Alegeți Mai puțin sigure (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

6

Faceți clic pe Testați configurarea SSO, iar atunci când se deschide o nouă filă de browser, autentificați-vă cu IdP prin conectare.

Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți, de asemenea, să configurați în mod proactiv regulile de alertă. Aceste reguli vă permit să știți în prealabil că certificatele SP sau IdP vor expira. Le putem trimite prin e-mail, într-un spațiu din Aplicația Webex sau ambele.


 

Indiferent de canalul de livrare configurat, toate alertele apar întotdeauna în Control Hub. Consultați Centrul de alerte din Control Hub pentru mai multe informații.

1

Din vizualizarea clientului din https://admin.webex.com, accesați centrul Alerts.

2

Alegeți Gestionați apoi Toate regulile.

3

Din lista de reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:

  • expirarea certificatului SSO IDP
  • expirarea certificatului SSO SP
4

În secțiunea Canal de livrare, bifați caseta pentru E-mail, spațiu Webex, sau ambele.

Dacă alegeți E-mail, introduceți adresa de e-mail care ar trebui să primească notificarea.


 

Dacă alegeți opțiunea de spațiu Webex, sunteți adăugat automat într-un spațiu din cadrul Aplicației Webex și furnizăm notificările acolo.

5

Salvați modificările.

Ce este de făcut în continuare

Trimitem alerte de expirare a certificatului o dată la fiecare 15 zile, începând cu 60 de zile înainte de expirare. (Vă puteți aștepta la alerte în zilele 60, 45, 30 și 15.) Alertele se opresc atunci când reînnoiți certificatul.

Puteți vedea o notificare conform căreia URL-ul unic de deconectare nu este configurat:


 

Vă recomandăm să vă configurați IdP pentru a accepta Deconectarea unică (cunoscută și ca SLO). Webex acceptă atât metodele de redirecționare, cât și metodele de postare, disponibile în metadatele noastre care sunt descărcate din Control Hub. Nu toți IdP-urile acceptă SLO; vă rugăm să contactați echipa IdP pentru asistență. Uneori, pentru principalii furnizori de IdP precum AzureAD, Ping Federate, ForgeRock și Oracle, care acceptă SLO, documentăm modul de configurare a integrării. Consultați echipa dvs. de identitate și securitate cu privire la specificul IDP-ului dvs. și cum să îl configurați corect.

Dacă URL-ul unic de conectare nu este configurat:

  • O sesiune IdP existentă rămâne valabilă. Data viitoare când utilizatorii se conectează, nu li se poate cere să se autentifice din nou de către IdP.

  • Afișăm un mesaj de avertizare la deconectare, astfel încât deconectarea din aplicația Webex să nu aibă loc fără probleme.

Puteți dezactiva conectare singură (SSO) pentru organizația dvs. Webex gestionată în Control Hub. Este posibil să doriți să dezactivați SSO dacă schimbați furnizorii de identitate (IdPs).


 

Dacă conectare singură a fost activată pentru organizația dvs., dar nu reușește, puteți contacta partenerul Cisco care vă poate accesa organizația Webex pentru a o dezactiva în locul dvs.

1

Din vizualizarea clientului în https://admin.webex.com, accesați Gestionare > Setări organizație, derulați la autentificare și faceți clic pe Gestionare SSO și IdPs.

2

Accesați fila Identitate furnizor .

3

Faceți clic pe Dezactivare SSO.

Apare o fereastră po-pup -up care vă avertizează cu privire la dezactivarea SSO:

Dezactivați SSO

Dacă dezactivați SSO, parolele sunt gestionate de cloud în loc de configurația dvs. IdP integrată.

4

Dacă înțelegeți impactul dezactivării SSO și doriți să continuați, faceți clic Dezactivați .

SSO este dezactivat și toate listele de certificate SAML sunt eliminate.

Dacă SSO este dezactivat, utilizatorii care trebuie să se autentifice vor vedea un câmp de intrare prin parolă în timpul procesului de conectare.

  • Utilizatorii care nu au o parolă în Aplicația Webex trebuie fie să-și reseteze parola, fie să le trimiteți un e-mail pentru a seta o parolă.

  • Utilizatorii existenți autentificați cu un token OAuth valid vor avea acces în continuare la aplicația Webex .

  • Utilizatorii noi creați în timp ce SSO este dezactivat primesc un e-mail în care le cere să creeze o parolă.

Ce este de făcut în continuare

Dacă dvs. sau clientul reconfigurați SSO pentru organizația client, conturile de utilizator revin la utilizarea politicii de parolă setată de IdP care este integrată cu organizația Webex.

Dacă întâmpinați probleme cu conectarea dvs. la SSO, puteți utiliza opțiunea de auto-recuperare SSO pentru a obține acces la organizația dvs. Webex gestionată în Control Hub. Opțiunea de auto-recuperare vă permite să actualizați sau să dezactivați SSO în Control Hub.